Аналіз безпеки NFT контрактів та обговорення поширених питань
У першій половині 2022 року у сфері NFT сталося багато інцидентів безпеки, що завдали значних збитків галузі. Згідно з статистикою, у цей період сталося 10 основних інцидентів безпеки, що призвели до збитків приблизно в 6490 мільйонів доларів. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішингові атаки на платформі Discord були особливо розповсюдженими, майже щодня сервери піддавалися атакам, що призводило до частих втрат особистих користувачів.
Серед цих безпекових інцидентів кілька особливо привертають увагу:
Подія TreasureDAO: через плутанину логіки, спричинену змішуванням токенів ERC-1155 і ERC-721, хакер успішно викрав понад 100 NFT.
Подія з аірдропом APE Coin: Хакери використали флеш-кредити, щоб отримати понад 60 000 APE Coin в аірдропі. Це виявило вразливість контракту аірдропу при визначенні прав власності на NFT.
Подія Revest Finance: через вразливість повторного входу ERC-1155 проект втратив близько 120 тисяч доларів.
Проект NBA зазнав атаки: підробка підписів та проблема повторного використання призвели до втрати дійсності перевірки білого списку.
Подія Akutar: через вразливість у логіці смарт-контракту близько 34 мільйонів доларів активів були заблоковані у контракті.
Подія XCarnival: логічна вразливість контракту призвела до того, що хакери отримали прибуток приблизно в 3,8 мільйона доларів.
Ці події виявляють деякі поширені проблеми, що існують у процесі проектування та реалізації NFT контрактів. Професійні аудиторські команди під час перевірки NFT контрактів часто виявляють такі категорії проблем:
Підробка та повторне використання підпису: відсутність перевірки повторного виконання або ненадійна перевірка підпису, що призводить до можливості багаторазового використання підпису або його перевірки будь-яким користувачем.
Логічні вади: такі як неналежний контроль за загальною кількістю монет, вади в процесі аукціону тощо.
Атака повторного входу ERC721/ERC1155: під час використання функції повідомлення про переказ може виникнути атака повторного входу.
Занадто широкий обсяг повноважень: користувачів можуть попросити надати надмірні повноваження під час деяких операцій, що збільшує ризик крадіжки NFT.
Маніпуляція цінами: коли ціна NFT залежить від певних факторів, які можуть бути маніпульовані, це може призвести до аномальних ліквідацій.
Ці проблеми часто виникають під час реальних атак, підкреслюючи важливість професійного аудиту безпеки для NFT контрактів. Команди проекту повинні звертати увагу на безпеку контрактів, обираючи професійні компанії для всебічного аудиту, щоб знизити ризики безпеки та захистити інтереси користувачів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
21 лайків
Нагородити
21
7
Репост
Поділіться
Прокоментувати
0/400
MintMaster
· 07-24 15:08
Цього року це просто відкрите пограбування.
Переглянути оригіналвідповісти на0
notSatoshi1971
· 07-22 22:16
Знову бачимо смартконтракти, які були hk
Переглянути оригіналвідповісти на0
GateUser-afe07a92
· 07-22 12:22
Обман для дурнів знову з новими хитрощами
Переглянути оригіналвідповісти на0
StablecoinAnxiety
· 07-21 15:56
Без слів, ха-ха, знову дірка
Переглянути оригіналвідповісти на0
StakeWhisperer
· 07-21 15:55
Договір перевірений добре, втрати мінімальні
Переглянути оригіналвідповісти на0
BackrowObserver
· 07-21 15:53
Втрати навіть не вистачає, щоб купити пляшку напою.
Аналіз небезпек безпеки NFT-контрактів: спостереження за частими випадками, типові вразливості та запобігання
Аналіз безпеки NFT контрактів та обговорення поширених питань
У першій половині 2022 року у сфері NFT сталося багато інцидентів безпеки, що завдали значних збитків галузі. Згідно з статистикою, у цей період сталося 10 основних інцидентів безпеки, що призвели до збитків приблизно в 6490 мільйонів доларів. Основні методи атаки включали експлуатацію вразливостей контрактів, витік приватних ключів та фішинг. Варто зазначити, що фішингові атаки на платформі Discord були особливо розповсюдженими, майже щодня сервери піддавалися атакам, що призводило до частих втрат особистих користувачів.
Серед цих безпекових інцидентів кілька особливо привертають увагу:
Подія TreasureDAO: через плутанину логіки, спричинену змішуванням токенів ERC-1155 і ERC-721, хакер успішно викрав понад 100 NFT.
Подія з аірдропом APE Coin: Хакери використали флеш-кредити, щоб отримати понад 60 000 APE Coin в аірдропі. Це виявило вразливість контракту аірдропу при визначенні прав власності на NFT.
Подія Revest Finance: через вразливість повторного входу ERC-1155 проект втратив близько 120 тисяч доларів.
Проект NBA зазнав атаки: підробка підписів та проблема повторного використання призвели до втрати дійсності перевірки білого списку.
Подія Akutar: через вразливість у логіці смарт-контракту близько 34 мільйонів доларів активів були заблоковані у контракті.
Подія XCarnival: логічна вразливість контракту призвела до того, що хакери отримали прибуток приблизно в 3,8 мільйона доларів.
Ці події виявляють деякі поширені проблеми, що існують у процесі проектування та реалізації NFT контрактів. Професійні аудиторські команди під час перевірки NFT контрактів часто виявляють такі категорії проблем:
Підробка та повторне використання підпису: відсутність перевірки повторного виконання або ненадійна перевірка підпису, що призводить до можливості багаторазового використання підпису або його перевірки будь-яким користувачем.
Логічні вади: такі як неналежний контроль за загальною кількістю монет, вади в процесі аукціону тощо.
Атака повторного входу ERC721/ERC1155: під час використання функції повідомлення про переказ може виникнути атака повторного входу.
Занадто широкий обсяг повноважень: користувачів можуть попросити надати надмірні повноваження під час деяких операцій, що збільшує ризик крадіжки NFT.
Маніпуляція цінами: коли ціна NFT залежить від певних факторів, які можуть бути маніпульовані, це може призвести до аномальних ліквідацій.
Ці проблеми часто виникають під час реальних атак, підкреслюючи важливість професійного аудиту безпеки для NFT контрактів. Команди проекту повинні звертати увагу на безпеку контрактів, обираючи професійні компанії для всебічного аудиту, щоб знизити ризики безпеки та захистити інтереси користувачів.